Представлен способ превращения антивирусов в инструмент для самоуничтожения
Специалисты компании RACK911 Labs продемонстрировали, как с помощью символических ссылок (directory junction на Windows и symlink на macOS и Linux) можно превратить практически любое антивирусное решение в инструмент для самоуничтожения.
Большинство антивирусных решений работают по одной схеме: при сохранении неизвестного файла на жесткий диск компьютера антивирус сканирует его в реальном времени. Если файл признается подозрительным, он либо отправляется в "карантин" - защищенное место, где ожидает дальнейших действий пользователя, либо удаляется. В связи с характером проводимых операций антивирусное ПО как правило обладает на системе наивысшими привилегиями, что, по словам специалистов RACK911 Labs, "открывает двери для широко спектра уязвимостей в безопасности и неопределенностей параллелизма" (так называемое "состояние гонки" или race condition).
Как сообщают исследователи, в большинстве антивирусных решений не учитывается небольшой зазор времени между сканированием файла и дальнейшими действиями с ним. Локальный злоумышленник или вредоносное ПО может вызвать неопределенность параллелизма с помощью символических ссылок и, воспользовавшись привилегированным статусом действий с файлом, отключить антивирусное ПО или сделать его полностью бесполезным.
Исследователи смогли успешно удалить важные файлы антивирусного ПО на компьютерах под управлением Windows, macOS и Linux, сделав его бесполезным, и даже удалить ключевые системные файлы и тем самым вызвать серьезные повреждения, потребовавшие переустановки ОС.
По словам исследователей, осуществить представленную ими атаку очень просто, и бывалый хакер справится с ней без труда. Самое сложное - определить точное время, когда нужно выполнить directory junction или symlink. В данной атаке тайминг играет ключевую роль, поскольку опоздание даже на одну секунду сделает эксплоит бесполезным. Однако в случае с некоторыми антивирусными решениями тайминг не имел никакого значения, и для запуска их самоуничтожения было достаточно закольцевать запуск эксплоита.
Компания RACK911 Labs начала рассылать уведомления затронутым вендорам осенью 2018 года, и большинство из них, за небольшим исключением, уже исправили уязвимость.
